Un ancien informaticien a probablement laissé des portes dérobées. Comment puis-je les éliminer ?

Vous devriez faire un audit des fonctionnalités et de l'utilisation actuelles, mais honnêtement, vous devriez repartir de zéro.

En d'autres termes, ne vous contentez pas de le "bombarder" depuis son orbite, mais notez toutes les fonctionnalités et exigences de base telles que, par exemple, les ports qui doivent être ouverts sur le pare-feu de la boîte, les restrictions en matière d'adresse IP ou de nom d'hôte et les divers éléments de "plomberie" de ce type.

Recréez ensuite un nouvel environnement sur la base de ce que vous avez vu, effectuez quelques tests pour confirmer que les fonctionnalités sont les mêmes en cas de basculement, puis programmez la maintenance pour effectuer un basculement officiel : Cela signifie qu'il faut copier les données de l'ancienne configuration sur la nouvelle, puis soit changer les IP de la boîte pour reprendre les anciennes IP de l'ancienne boîte, soit configurer d'autres systèmes qui ont besoin d'un accès pour pouvoir se connecter à la nouvelle configuration.

Cela dit, même si vous faites cela, il se peut que vous ne puissiez pas faire confiance aux données de la base de données, mais au moins, dans un cas comme celui-ci, le système central est déplacé vers quelque chose de plus stable et de plus "sain", ce qui vous donne un point de départ plus propre.

Vous avez également mentionné que les anciens informaticiens étaient capables de programmer en assembleur et en C++. Ma question serait : Pourquoi ? Alors faites un audit de tout code personnalisé qui pourrait exister et évaluez la fonctionnalité. Parce que pendant que les autres personnes pourrait ont été "fantaisistes" dans leurs compétences en programmation, qui sait s'ils ont programmé quelque chose en C++ qui, par exemple, peut facilement être recréé en Python ou dans un script Bash/Batch. J'ai rencontré beaucoup de programmeurs C++ de nos jours qui utilisent vraiment trop le code C++ alors que des outils plus simples peuvent être utilisés pour obtenir une fonctionnalité équivalente.

Mais en fin de compte, reconstruire l'architecture à partir de zéro est peut-être la seule chose à faire, et la plus sûre.

La première chose, c'est que tout le monde change son mot de passe. Ensuite, vous devez sécuriser le pare-feu et tout ce qui s'y connecte directement. Changez TOUS les mots de passe partout.

S'il ne peut pas traverser le pare-feu, il devra compter sur quelque chose qui établira une connexion avec lui, et il lui sera beaucoup plus difficile de revenir.

Vous devrez apprendre tout ce qu'il y a à savoir sur le pare-feu, les règles et la configuration, et vérifier ligne par ligne ce qui n'a pas sa place. Même dans ce cas, vous feriez mieux de vous procurer un nouveau routeur et de transférer la configuration manuellement. Vérifiez que chaque modification de la configuration est correcte, qu'elle ne constitue pas une porte dérobée et qu'elle est toujours nécessaire. C'est le moment idéal pour nettoyer les restes de votre système.

Pensez-y : il pourrait avoir installé sa porte dérobée dans le secteur de démarrage. En fonction de son efficacité et de sa prudence quant à l'obtention d'une porte dérobée persistante, vous pourriez avoir besoin d'un nouveau disque dur et d'une nouvelle carte mère. Et selon ce qu'il a fait exactement, vous devrez peut-être laisser toutes vos données derrière vous. Si c'était moi qui devais décider de ce qu'il faut faire, je ne chercherais pas à savoir ce que la personne a pu faire ; j'agirais en fonction du risque de dommages que les données que vous avez cachées dans ces bases de données pourraient potentiellement causer.

Si vous souhaitez disposer d'un outil pratique pour classer les risques par catégorie, l'armée canadienne dispose d'une méthode très efficace à cet effet :

Données protégées "A" - données qui peuvent causer des dommages importants à un individu sans risque de dommages à d'autres personnes utilisant le même système.

Protégé "B" - données qui peuvent causer des dommages importants à plus d'une personne, mais qui restent limitées aux personnes dont les données sont stockées dans le même système, mais sans risque de dommage pour l'organisation qui porte les données.

Protégé "C" - données qui, si elles tombent entre de mauvaises mains, représentent une menace pour la sécurité nationale, la sécurité de l'ensemble de l'organisation, ou l'accès "root" à l'ensemble de la base de données où les données sont stockées peut causer les mêmes dommages étendus.

Donc, si vos bases de données contiennent des informations personnelles et que votre serveur appartient à une entité qui est légalement responsable de la confidentialité de ces données, alors je mettrais à la poubelle tout ce qui peut stocker des données et je repartirais à zéro. Dans la plupart des cas, le coût est élevé, mais s'il y a un risque de poursuite judiciaire, il faut d'abord engager un avocat et partir de là. Trouvez un avocat spécialisé dans les atteintes à la sécurité des données. La loi pour ce genre de choses peut être très confuse, il est donc préférable de faire appel à un avocat très expérimenté, ou de mettre votre matériel à la poubelle et de repartir à zéro. J'espère que ces informations vous seront utiles. Bonne chance et désolé d'apprendre votre situation difficile.